سلام استاید
من میخواستم دسترسی رو به روت طوری بدم که فقط با 2 تا کلید وارد سرور شه و حتی اگر پسورد روت رو هم بدست آوردن نتونن بدون کلید وارد سرور شن
با csf چک کردم این خطا رو هم میده ، جوری درست شه که این خطا هم رفع شه (SSH PasswordAuthentication)

اگر مشکلی ایجاد شده و دیگه نتونم وارد سرور شم (در موقع ساخت کلید) ، راهی هست بشه وارد سرور شد یا اون سرور دیگه میره واسه خودش؟ :D

دوتا لینک ارسال کردم که آموزش داده اساتید لطفا یه نگاهی کنید ببینید کدوم یکی خوبه یا خوبه آموزشش تا من انجام بدم
اگر هم کار دیگه باید بکنم ممنون میشم راهنماییم کنیذد
با تشکر

http://www.irpowerweb.com/knowledgebase.php?action=displayarticle&id=129

https://danesh.gitimedia.com/how-to-ssh-key.html

سلام؛ اگر از ویندوز استفاده می کنید از لینک اول استفاده کنید و اگر لینوکس کار هستید از لینک دوم

سلام؛ اگر از ویندوز استفاده می کنید از لینک اول استفاده کنید و اگر لینوکس کار هستید از لینک دوم

سیستم عامل خودم ویندوز هست ، و سیستم عامل سرور centos هست و کنترل پنل دایرکت ادمین هست

و از طریق ویندوز میخوام وصل شم
از کدوم لینک استفاده کنم من متوجه نشدم

- - - Updated - - -

استاید لطفا کسانی که استفاده کردند یه راهنماییم کنند ممنون میشم
از طریق putty کلید رو میسازم کدوم نوع رمزنگاری رو بزنم؟ rsa یا dsa یا ...؟
و اینکه چند بیتی باشه ؟ خودش 2048 پیشفرض هست 4048 هم تست کردم ساختش ، آیا میشه ازش تو سرور به کار برد؟

از این لینک استفاده کنید
http://www.irpowerweb.com/knowledgebase.php?action=displayarticle&id=129
شما هر تعداد که می خواهید می تونید کلید توی سرور کپی کنید هیچ مشکلی نداره

از این لینک استفاده کنید
http://www.irpowerweb.com/knowledgebase.php?action=displayarticle&id=129
شما هر تعداد که می خواهید می تونید کلید توی سرور کپی کنید هیچ مشکلی نداره

خیلی ممنون
یه سوال اگر یه وقتی یه مشکلی پیش بیاد یا هر چی دیگه و نتونم دیگه وارد سرور شم ، میشه پسورد رو یه جوری رست کرد؟ از طریق همونجایی که سرور رو خریدم یا سرور دیگه باید عوض شه؟

خیلی ممنون
یه سوال اگر یه وقتی یه مشکلی پیش بیاد یا هر چی دیگه و نتونم دیگه وارد سرور شم ، میشه پسورد رو یه جوری رست کرد؟ از طریق همونجایی که سرور رو خریدم یا سرور دیگه باید عوض شه؟

بستگی داره به دسترسی موجود. شما باید همواره آخرین رمزعبور root رو در جایی امن یادداشت کنید.
مثلا در هر زمان از طریق کنسول میشه با رمز root وارد شد و تغییرات مورد نیاز رو اعمال کرد و در این حالت (فایل خصوصی و یا عمومی و یا فایروال و یا تغییر یا بسته بودن پورت ها) تاثیری نداره و لاگین میشه کرد.

خیلی ممنون
یه سوال اگر یه وقتی یه مشکلی پیش بیاد یا هر چی دیگه و نتونم دیگه وارد سرور شم ، میشه پسورد رو یه جوری رست کرد؟ از طریق همونجایی که سرور رو خریدم یا سرور دیگه باید عوض شه؟

اول تست کنید بعد لاگین با پسورد را ببندید

بستگی داره به دسترسی موجود. شما باید همواره آخرین رمزعبور root رو در جایی امن یادداشت کنید.
مثلا در هر زمان از طریق کنسول میشه با رمز root وارد شد و تغییرات مورد نیاز رو اعمال کرد و در این حالت (فایل خصوصی و یا عمومی و یا فایروال و یا تغییر یا بسته بودن پورت ها) تاثیری نداره و لاگین میشه کرد.

خوبه پس خیلی ممنون
بقه امید خدا فردا انجامش میدم ببینم چی میشه
بازم ممنون

بستگی داره به دسترسی موجود. شما باید همواره آخرین رمزعبور root رو در جایی امن یادداشت کنید.
مثلا در هر زمان از طریق کنسول میشه با رمز root وارد شد و تغییرات مورد نیاز رو اعمال کرد و در این حالت (فایل خصوصی و یا عمومی و یا فایروال و یا تغییر یا بسته بودن پورت ها) تاثیری نداره و لاگین میشه کرد.

هدف این هست که ssh کردن با استفاده از پسورد غیر فعال شود در صورتی که باز بخوایم از پسورد استفاده کنیم چه نیازی به این کار هست ؟!!!

هدف این هست که ssh کردن با استفاده از پسورد غیر فعال شود در صورتی که باز بخوایم از پسورد استفاده کنیم چه نیازی به این کار هست ؟!!!

خب من دیگه هیچ وقت با پسورد دیگه وراد نمیشم و اون واسه همیشه می بندم و هر کسی بخواد وارد سرور شه تا پشتیبانی کنه کلید خصوصی رو بهش میدم
حملات بروت فورس 100% پسورد ها رو کشف میکنن
شاید طول بکشه ولی 100% پیدا میشه
----
شاید هم بروت فورس نباشه و یه ویروس یا یه کیگان روی سرور نصب شه که با وارد شدن به سرور پسرود واسه طرف ارسال شه (حتی اگر 100 رقم باشه)
پس دیگه اینجا به درد نمیخوره هی من پسورد رو بزنم و پسرود یه رمز خیلی امنیتی هست که دسترسی روت میده
مورد داشتیم امنیت سرور فوق العاده بالا بوده ولی روی سرور کیگان نصب شده چه جوری؟ خب چون وی پی اس هست پس هارد مشترک هست کافیه او کیگان وارد هارد شه و تحت ویندوز یا لینوکس عمل کنه پس هرچی که روی هارد باشه و زده شه واسه شخص فرستاده میشه
--
پس باید اونو غیر فعال کرد ، و با کلید خصوصی وارد شد ، حتی اگر کلید امن رمز گشایی شه کلید خصوصی رمز گشایی نمیشه اونم در حالتی رمز گشایی میشه که 1024 بیتی باشه تاحالا 2048 گزارش نشده و منم 4096 انتخاب میکنم

منظور بنده غیر فعال کردن لاگین با پسورد بعد از فعال سازی ssh-key لاگین هست ، موفق باشید

خیلی روی این موضوع حساسیت نشان ندهید. این مورد با محدودیت آی پی یا کلید ssh قابل حل است.
اگر بحث روی تامین امنیت است روی سیستم عامل ، کنترل پنل ، وب سرور و نرم افزارهای وابسته کار کنید.
مواردی مانند انتخاب و کانفیگ هندلر مناسب برای وب سرور ، کانفیگ حرفه ای فایروال ، کانفیگ mysql و ...
برای دایرکت ادمین مهمترین موارد امنیتی پایه در آموزش زیر موجود است.
http://help.directadmin.com/item.php?id=247

ب جای اینکار ، شما مجوز لاگین از ssh یوزر root رو بردارید ، یک یوزر جدید بسازید و بهش اجازه این رو بدید ک از sudo با رمز عبور یوزر root بتونه استفاده کنه.

پورت ssh رو عوض کنید ، از یک زمز عبور ۱۶ تا ۲۴ کاراکتری شامل حروف بزرگ ، کوچک ، عدد و کاراکترهای خاص (!,@,#,$,% ...) استفاده کنید و در نهایت لاگین دو مرحله ای رو در centos فعال کنید ... همین موارد برای ایمن سازی ssh کافی ست ، اگر هم سرور مجازی هست و شما دسترسی کنسول دارید ، میتونید سرویس ssh رو غیر فعال و پورت این سرویس رو هم از لیست پورت های باز فایروال حذف کنید .

ب جای اینکار ، شما مجوز لاگین از ssh یوزر root رو بردارید ، یک یوزر جدید بسازید و بهش اجازه این رو بدید ک از sudo با رمز عبور یوزر root بتونه استفاده کنه.

پورت ssh رو عوض کنید ، از یک زمز عبور ۱۶ تا ۲۴ کاراکتری شامل حروف بزرگ ، کوچک ، عدد و کاراکترهای خاص استفاده کنید و در نهایت لاگین دو مرحله ای رو در centos فعال کنید ... همین موارد برای ایمن سازی ssh کافی ست ، اگر هم سرور مجازی هست و شما دسترسی کنسول دارید ، میتونید سرویس ssh رو غیر فعال و پورت این سرویس رو هم از لیست پورت های باز فایروال حذف کنید .
ممنون
بله اون کار رو هم میکنم
یعنی اول باید کلید خصوصی رو وارد کرد ، مجوز دسترسی روت رو بردارم ، و از sudo استفاده کنم
بقیه کار ها انجام شده ، امنیت سایت و وب سرور و ...
اینارو هم در کنارش انجام میدم
ایشالا بعد اینکه این مورد تمام شد ، فعال کردن لاگین دو مرحله ای رو هم تاپیک جداگانه میزنم بقیه کاربران هم استفاده کنن
با تشکر.

ممنون
بله اون کار رو هم میکنم
یعنی اول باید کلید خصوصی رو وارد کرد ، مجوز دسترسی روت رو بردارم ، و از sudo استفاده کنم
بقیه کار ها انجام شده ، امنیت سایت و وب سرور و ...
اینارو هم در کنارش انجام میدم
ایشالا بعد اینکه این مورد تمام شد ، فعال کردن لاگین دو مرحله ای رو هم تاپیک جداگانه میزنم بقیه کاربران هم استفاده کنن
با تشکر.

دوست عزیز ، نیازی ب فعال کردن Public Key Authentication نیست ، شما همین Two-Step verification رو استفاده کنید در کنار یک پسورد Strong (شامل حروف بزرگ ، کوچک ، عدد ، کاراکترهای خاص و با طول ۱۶ تا ۱۸ حداکثر ۲۴ کاراکتر) و مواردی ک در پست قبل گفتم کافی هست .

یک لول بالاتر هم این است ک لاگین در ssh محدود ب یکسری آي پی آدرس خاص بشه .

ب جای اینکار ، شما مجوز لاگین از ssh یوزر root رو بردارید ، یک یوزر جدید بسازید و بهش اجازه این رو بدید ک از sudo با رمز عبور یوزر root بتونه استفاده کنه.

پورت ssh رو عوض کنید ، از یک زمز عبور ۱۶ تا ۲۴ کاراکتری شامل حروف بزرگ ، کوچک ، عدد و کاراکترهای خاص (!,@,#,$,% ...) استفاده کنید و در نهایت لاگین دو مرحله ای رو در centos فعال کنید ... همین موارد برای ایمن سازی ssh کافی ست ، اگر هم سرور مجازی هست و شما دسترسی کنسول دارید ، میتونید سرویس ssh رو غیر فعال و پورت این سرویس رو هم از لیست پورت های باز فایروال حذف کنید .

ببخشید یه سوال
الان من با کلید وارد سرور شم به عنوان روت وارد میشم؟ بعدش از من درخواست وارد کردن یورز رو میخواد؟
میتونم با کلید وارد شم ، و مجوز رورت رو از یوزر بگیرم و از sudo استفاده کنم؟
به این ترتیپ :
اول با کلید وارد شم
سپس با یه یوزری وارد شم که روت نیست و اگر نیاز به روت بود از sudo استفاده کنم (اینجوری میشه؟)

ببخشید یه سوال
الان من با کلید وارد سرور شم به عنوان روت وارد میشم؟ بعدش از من درخواست وارد کردن یورز رو میخواد؟
میتونم با کلید وارد شم ، و مجوز رورت رو از یوزر بگیرم و از sudo استفاده کنم؟
به این ترتیپ :
اول با کلید وارد شم
سپس با یه یوزری وارد شم که روت نیست و اگر نیاز به روت بود از sudo استفاده کنم (اینجوری میشه؟)

ببینید شما اول باید با یوزری وارد شید ک root نیست ، بعد با دستور su ب root لاگین میکنید ، یا از sudo اول دستورات استفاده میکنید ، اون داستان Public Key Authentication هم میتونه برای یوزری ب جز روت استفاده شه و تفاوتی وجود نداره .

اگر منظور این هست ک بعد از لاگین با متد Public Key Authentication میتونید با پسورد با root لاگین کنید ؟! ، بله میتونید اینکارو بکنید .

ببینید شما اول باید با یوزری وارد شید ک root نیست ، بعد با دستور su ب root لاگین میکنید ، یا از sudo اول دستورات استفاده میکنید ، اون داستان Public Key Authentication هم میتونه برای یوزری ب جز روت استفاده شه و تفاوتی وجود نداره .

اگر منظور این هست ک بعد از لاگین با متد Public Key Authentication میتونید با پسورد با root لاگین کنید ؟! ، بله میتونید اینکارو بکنید .

من یکم گیج شدم
دقیقا این کارارو میخوام انجام بدم همه این کار ها به ترتیب و ببینید میشه امکانش هست؟ (همه پسورد ها با بهترین نوع پیچیدگی و تعداد کاراکتر ساخته میشن)

1- ابتدا یه یوزر میسازم و دسترسی root رو غیر فعال میکنم :
PermitRootLogin no

2- استفاده از Public/Private Key برای احراز هویت

3- غیر فعال کردن ورود به SSH از طریق رمز عبور
---------------

1-این 3 مراحل باهم دیگه انجام میشه و هیچ تداخلی نداره؟
2-در آخر سر وقتی من با کلید وارد سرور شم کدوم یوزر رو برام میاره؟ میتونم از sudo هم استفاده کنم؟

هدف این هست که ssh کردن با استفاده از پسورد غیر فعال شود در صورتی که باز بخوایم از پسورد استفاده کنیم چه نیازی به این کار هست ؟!!!

دوست عزیز حالتون خوبه؟ (من فکر کردم هدف فقط بالا رفتن تعدد پست های شما هست!) از بالا بخونید ببینید موضوع چی هست و پاسخ من برای چی بود؟
بعد از اینکه دسترسی root مسدود شد (PermitRootLogin no) دیگه نمیتونه از طریق ssh با رمز هم وارد بشه!!! پاسخ من برای زمانی بود که ایشون در تنظیمات اشتباه کنه و به اشتباه قبل از ایجاد دسترسی جدید، دسترسی root رو از دست بده.
که اونم گفتم از طریق کنسول میتونه وارد بشه... شما از کی تا حالا دسترسی کنسول روی نت پخش دیدید که حالا بخواهید به صورت عمومی از کنسول وارد یک سرور بشید؟ یا از چه زمانی تا به حال شما در کنسول میتونید کلید خصوصی رو بارگزاری کنید که نیاز به پسورد نداشته باشید؟

برخی موقع این افزایش دهنده های پست یه پاسخی میدن و یه نقل قولی میکنن که درست میره روی اعصاب خراب و بی خوابی من ! (شرمنده)

دوست عزیز حالتون خوبه؟ (من فکر کردم هدف فقط بالا رفتن تعدد پست های شما هست!) از بالا بخونید ببینید موضوع چی هست و پاسخ من برای چی بود؟
بعد از اینکه دسترسی root مسدود شد (PermitRootLogin no) دیگه نمیتونه از طریق ssh با رمز هم وارد بشه!!! پاسخ من برای زمانی بود که ایشون در تنظیمات اشتباه کنه و به اشتباه قبل از ایجاد دسترسی جدید، دسترسی root رو از دست بده.
که اونم گفتم از طریق کنسول میتونه وارد بشه... شما از کی تا حالا دسترسی کنسول روی نت پخش دیدید که حالا بخواهید به صورت عمومی از کنسول وارد یک سرور بشید؟ یا از چه زمانی تا به حال شما در کنسول میتونید کلید خصوصی رو بارگزاری کنید که نیاز به پسورد نداشته باشید؟

برخی موقع این افزایش دهنده های پست یه پاسخی میدن و یه نقل قولی میکنن که درست میره روی اعصاب خراب و بی خوابی من ! (شرمنده)


دوست عزیز قصد من بالا بردن تعداد پست اصلا نیست
و واقعا به کمک نیاز دارم
دیدم دوستان در مورد موارد بیشتر حرف زدن گفتم به جای اینکه تاپیک بیشتر باز کنم توی همین تاپیک بگم و در نهایت یه جمع بندی کلی کنم که فردا دچار مشکل نشم
شرمنده

سلام
دوست عزیز اگه منظور شما طریقه لاگین به ssh به وسیله کلید خصوصی روی سیستم عامل ویندوز است (اینجا رو بخونید) (http://www.rackspace.com/knowledge_center/article/logging-in-with-an-ssh-private-key-on-windows)
اما اگر Private key رو هنوز نساختید از این آموزش (http://help.directadmin.com/item.php?id=516)استفاده کنید

الگوریتم رمزنگاریتان هم rsa با نرخ ۴۰۹۶ انتخاب کنید.



اما من یه پیشنهاد بهتری دارم :-)
اونم اینه که : به وسیله hosts.allow و hosts.deny در شاخه /etc/ دسترسی به سرویس ssh رو محدود به آیپی خاص خودتان کنید.
>> از پورت غیر از ۲۲ و پروتکل دوم سرویس ssh (این تنظیمات در sshd_config وجود دارد) استفاده کنید ...

راه آسان تر و قدیمی و جذابی هست

موفق باشید

دوست عزیز قصد من بالا بردن تعداد پست اصلا نیست
و واقعا به کمک نیاز دارم
دیدم دوستان در مورد موارد بیشتر حرف زدن گفتم به جای اینکه تاپیک بیشتر باز کنم توی همین تاپیک بگم و در نهایت یه جمع بندی کلی کنم که فردا دچار مشکل نشم
شرمنده

نه عزیز منظور من به شما نبود که ... پاسخ کاربر مورد نظر رو نقل قول کرده ام.

نه عزیز منظور من به شما نبود که ... پاسخ کاربر مورد نظر رو نقل قول کرده ام.

اهان
الان یه بار دیگه خوندم متوجه شدم
شرمنده وقت شما رو هم گرفتم
موفق باشید

- - - Updated - - -

آی پی رو نمیتونم محدود کنم چون آی پی من استاتیک نیست داینامیک هست
ولی خب دور زدن آی پی خیلی راحت انجام میشه امنیت رو 1% میبره بالا

هکر راحت میتونه بفهمه که چه کسانی وصل میشن به ssh ، سرور رو شنود میکنه با استفاده از حملات man in the middle
اونقت یه رنجی از آی پی ها به دست میاره ، و آی پی خودش رو به آی پی من تغیر میده و راحت متصل میشه به سرور
امنیت هیچوقت 100% نیست ، حتی میشه کلید رو هم شکست ، ولی خب کلید هایی مثل 1024 بیت ، چون هنوز 2048 به لالا شکست نخورده ، ولی خب مطمئنا یه روشی میاد که اونارو هم شکست میده

دیگه باید امنیت رو جوری بالا ببریم که طرف واسه وارد شدن ، چند تا دیوار جلوش باشه (دیگه خود هکر خسته میشه بیخیال میشه)
پس هر روشی که موجود باشه رو من انجام میدم ولی آی پی نمیتونم چون داینماکی هست آی پیم :(

- - - Updated - - -


سلام
دوست عزیز اگه منظور شما طریقه لاگین به ssh به وسیله کلید خصوصی روی سیستم عامل ویندوز است (اینجا رو بخونید) (http://www.rackspace.com/knowledge_center/article/logging-in-with-an-ssh-private-key-on-windows)
اما اگر Private key رو هنوز نساختید از این آموزش (http://help.directadmin.com/item.php?id=516)استفاده کنید

الگوریتم رمزنگاریتان هم rsa با نرخ ۴۰۹۶ انتخاب کنید.



اما من یه پیشنهاد بهتری دارم :-)
اونم اینه که : به وسیله hosts.allow و hosts.deny در شاخه /etc/ دسترسی به سرویس ssh رو محدود به آیپی خاص خودتان کنید.
>> از پورت غیر از ۲۲ و پروتکل دوم سرویس ssh (این تنظیمات در sshd_config وجود دارد) استفاده کنید ...

راه آسان تر و قدیمی و جذابی هست

موفق باشید


آی پی رو نمیتونم محدود کنم چون آی پی من استاتیک نیست داینامیک هست
ولی خب دور زدن آی پی خیلی راحت انجام میشه امنیت رو 1% میبره بالا

هکر راحت میتونه بفهمه که چه کسانی وصل میشن به ssh ، سرور رو شنود میکنه با استفاده از حملات man in the middle
اونقت یه رنجی از آی پی ها به دست میاره ، و آی پی خودش رو به آی پی من تغیر میده و راحت متصل میشه به سرور
امنیت هیچوقت 100% نیست ، حتی میشه کلید رو هم شکست ، ولی خب کلید هایی مثل 1024 بیت ، چون هنوز 2048 به لالا شکست نخورده ، ولی خب مطمئنا یه روشی میاد که اونارو هم شکست میده

دیگه باید امنیت رو جوری بالا ببریم که طرف واسه وارد شدن ، چند تا دیوار جلوش باشه (دیگه خود هکر خسته میشه بیخیال میشه)
پس هر روشی که موجود باشه رو من انجام میدم ولی آی پی نمیتونم چون داینماکی هست آی پیم :(

آی پی رو نمیتونم محدود کنم چون آی پی من استاتیک نیست داینامیک هست

ولی خب دور زدن آی پی خیلی راحت انجام میشه امنیت رو 1% میبره بالا


هکر راحت میتونه بفهمه که چه کسانی وصل میشن به ssh ، سرور رو شنود میکنه با استفاده از حملات man in the middle

اونقت یه رنجی از آی پی ها به دست میاره ، و آی پی خودش رو به آی پی من تغیر میده و راحت متصل میشه به سرور

امنیت هیچوقت 100% نیست ، حتی میشه کلید رو هم شکست ، ولی خب کلید هایی مثل 1024 بیت ، چون هنوز 2048 به لالا شکست نخورده ، ولی خب مطمئنا یه روشی میاد که اونارو هم شکست میده


دیگه باید امنیت رو جوری بالا ببریم که طرف واسه وارد شدن ، چند تا دیوار جلوش باشه (دیگه خود هکر خسته میشه بیخیال میشه)

پس هر روشی که موجود باشه رو من انجام میدم ولی آی پی نمیتونم چون داینماکی هست آی پیم
آیپی اینترنت شما استاتیک نیست،‌خوب نباشه.
میتونید از اون سرویس های (غیرمجاز :-d )‌برای اتصال استفاده کنید !
امنیت اطلاعات رد و بدل شده رو هم تضمین کنید.

دیگه هکر آیپی هارو شنود کنه!‌ دیگه نمیتونه که به آیپی سرویس (غیرمجاز :-d )‌ شما دسترسی داشته باشه ...

همانطوری که عرض کردم، این یه پیشنهاد هست...

آموزش ساخت کلید و نحوه استفاده از آن هم برایتان ارسال کردم
امیدوارم به کارتون اومده باشه
موفق باشید

آیپی اینترنت شما استاتیک نیست،‌خوب نباشه.
میتونید از اون سرویس های (غیرمجاز :-d )‌برای اتصال استفاده کنید !
امنیت اطلاعات رد و بدل شده رو هم تضمین کنید.

دیگه هکر آیپی هارو شنود کنه!‌ دیگه نمیتونه که به آیپی سرویس (غیرمجاز :-d )‌ شما دسترسی داشته باشه ...

همانطوری که عرض کردم، این یه پیشنهاد هست...

آموزش ساخت کلید و نحوه استفاده از آن هم برایتان ارسال کردم
امیدوارم به کارتون اومده باشه
موفق باشید

راست میگینااا ، اینجوری اره میشه
فکر خوبیه
خیلی مممنون دوست عزیز :)